Securepoint Support Forum

Hallo Forum,

ich habe eine Securepoint 12.5 im Einsatz und einen Reverse Proxy eingerichtet, der auch wunderbar funktioniert.

Ich möchte allerdings bei einem bestimmten Server den Zugriff auf einen bestimmten URL-Pfad verbieten (Rest ist frei).

Wenn ich also habe, möchte ich nur den Zugriff auf verboten wissen.
Bei dem Dienst handelt es sich um einen Docker-Container, so dass die Sperrung des Pfads auf Serverebene nur sehr umständlich möglich ist.

Die Anleitung für "Reverse Proxy und OWA" habe ich mir durchgelesen, aber da wird nur gezeigt, wie man einen Pfad erlaubt (z. B. mit "^/owa").
Ich möchte aber eher das Gegenteil.

Ich habe schon ein paar Sachen ausprobiert, aber hier wurde immer alles gesperrt und nicht nur der bestimmte Pfad.

Vielen Dank im Voraus.

Stefan

P.S.: Musste die URLs mit Leerzeichen füllen, weil das Forum es nicht anders zuließ.

Moin,

Sie müssen 2x ACL Sets für die Webseite anlegen:

1. dstdomain "test.meinedomain.de
2. dstdomain "test.meinedomain.de + urlpath_regex ^/admin

Unter Sites fügen Sie diese nun zusammen

An erster Stelle kommt das ACL Set mit dem /admin Pfad und aktion Deny
Danach fügen Sie das andere ACL Set nur mit der dstdomain hinzu und aktion allow.

Die ACLs sind logisch UND Verknüpft. Die Sites werden hingegen von oben nach unten abgearbeitet.

Gruß

Hallo,

funktioniert leider nicht.
Sobald ich die deny-Regel aktiviere, erhalte ich keinen Zugriff auf die Webseite ("Connection refused"). Die ACL scheint also zu greifen, aber eben für alles.

Hi, Ähnliches habe ich auch gerade. Und ich muss sagen, dass das WIKI hier leider auch echt zu wenige Infos bietet.

Z. B. keine näheren Angaben bei den ACLs, welche Grundregel hier gegeben ist (allow oder deny); also was gilt, wenn keine der ACLs einschlägig ist.

Außerdem wäre es hilfreich zu wissen, was die ACL urlpath_regex alles beinhalten muss, damit sie stimmig ist. bedarf es des führenden Schrägstriches/Slashs oder wird der automatisch gesetzt bzw. wo sitzt ^? vor dem http(s) oder halt erst nach der Domäne?

Ständiges Experimentieren kostet leider unnötige Zeit. Und den Support möchte ich auch nicht ständig wegen solcher Sachen von wichtigeren Dingen abhalten.

Moin nochmal,


Squid bereitet mir schlaflöse Nächte!


Ich kann nur empfehlen, sich via SSH und root-Zugang die /etc/squid-reverse.conf sowie die /etc/squid-reverse-sites.conf anzusehen. Vor allem hilft es, wenn man sich bei letzterer Datei die Änderungen anschaut, die darin vorgenommen werden, wenn man Änderungen an den ACL-Sets selbst sowie an den Zuweisungen der ACL-Sets unter dem Reiter Sites vornimmt. Aber nicht vergessen, immer auf Speichern zu klicken.

Wichtig ist jedenfalls, zu wissen, dass Squid als allgemeine Regel immer das Gegenteil der letzten, also der untersten Regel der jeweiligen Site verwendet. Steht diese nämlich auf deny, wird die Anfrage zugelassen, wenn keine der bisherigen Regeln einschlägig war, und umgekehrt.

Des Weiteren muss man IMMER mindestens eine dstdomain-ACL je Site setzen. Aber: Mehrere dstdomain-Zuweisungen, egal ob in einem ACL-Set allein oder mit weiteren ACLs in einem Set oder über mehrere Sets verteilt, werden je Site immer zu einer Gruppe zusammengefasst, die dann auf alle folgenden Regeln Anwendung finden.

Außerdem gilt, dass mehrere ACLs in einem Set immer mit ODER behandelt werden. Verschiedene ACL-Typen im selben Set hingegen mit UND. Einzelne Regeln hingegen wieder mit ODER.

Geil, ne?

Update:
Mit der 12.6 scheint sich das Verhalten erneut geändert zu haben:

Wenn ich jetzt die Deny-Regel aktivere ändert sich überhaupt nichts.
Sprich: Alle URLs sind erreichbar.

Vorher der 12.6 war es ja so, dass bei Aktivier Deny-Regel gar nichts mehr erreichbar war.

Intuitiv ist das jetzt nicht gerade.

Etwas OT:

Wird eh Zeit, dass der Reverse Proxy ersetzt wird und dann auch Websockets unterstützt.

Schmitti hat geschrieben: Etwas OT:

Wird eh Zeit, dass der Reverse Proxy ersetzt wird und dann auch Websockets unterstützt.

Ab der 12.7er kann man endlich nginx als Alternative auswählen.

Aber auch hier funktioniert die Zugriffsregel nicht.

bo2000 hat geschrieben:

Schmitti hat geschrieben: Etwas OT:

Wird eh Zeit, dass der Reverse Proxy ersetzt wird und dann auch Websockets unterstützt.

Ab der 12.7er kann man endlich nginx als Alternative auswählen.

Aber auch hier funktioniert die Zugriffsregel nicht.

Jau, danke für den Hinweis. Habe den Nginx schon am Laufen und bin heilfroh, jetzt endlich auch MeshCentral nutzen zu können! Aber das mit den Zugriffsregeln ist echt ärgerlich, vor allem, wenn man z. B. den Admin-Login für 'ne Wordpress-Seite restriktieren möchte.